9 существенных улучшений для более безопасного аппаратного кошелька. Часть 3

Поделиться
Pi Capital
Pi Capital Пресс-служба
Дата публикации: 18 мая 2020
9 существенных улучшений для более безопасного аппаратного кошелька. Часть 3
Числа с конца 2019 года говорят о том, что количество владельцев биткойнов в США выросло на 81% по сравнению с 2018 годом. Сейчас в США 36,5 миллиона человек, владеющих той или иной формой криптоактивов. С этим большим увеличением использования безопасность явно стала проблемой для пользователей. Говоря о безопасности, самый распространенный совет, который вы получаете, — это использовать аппаратный кошелек.
Защита от вредоносных программ

Открытый источник очень важен в этом децентрализованном мире. Но с точки зрения человеческой ошибки, открытый исходный код может также открыть новые возможности для атаки.

Мы знаем, что все аппаратные кошельки с открытым исходным кодом позволяют пользователям настраивать код и загружать его на устройство для своих собственных целей.

Несмотря на то, что пользователи получают четкое предупреждение при попытке установить неофициальные обновления, все же есть злоумышленники, которые находят способ пройти, иногда даже обманывая людей, задающих вопросы об аппаратном кошельке в Reddit или Telegram, для установки вредоносных прошивок. Некоторым людям трудно в это поверить, но поскольку аппаратные кошельки играют все более важную роль в этом сообществе, они больше не только создают для зрелых пользователей, но и для новичков.

Защита обычных пользователей от вредоносных программ сторонних производителей не должна означать, что нужно жертвовать гибкостью пользователей-гиков для настройки кода. Лучшее решение состоит в том, что поставщики аппаратного кошелька продают отдельную версию для пользователей-гиков, которые хотят изменить код и загрузить его самостоятельно.

В точках покупки должны быть строгие предупреждения, чтобы большинство пользователей не покупали его. Кроме того, устройство должно поставляться без какой-либо работоспособной прошивки, чтобы пользователю приходилось составлять специальную версию, которая была бы подписана другим ключом и загружена на устройство.

Это может быть сделано, чтобы люди могли изменить пару ключей на свои собственные, чтобы только они могли подписать программу и загрузить ее на свое устройство.

Модульная батарея

Как и во всех электронных продуктах, батарея является наиболее уязвимой частью. В наши дни мобильные телефоны похожи на продукты FMCG. Это в отличие от аппаратных кошельков, которые вы можете хранить десятилетиями или даже передавать своим наследникам. Если аппаратный кошелек хранит ваши сбережения, вы можете дотрагиваться до него каждые 6-12 месяцев.

Теперь все больше аппаратных кошельков поддерживают Bluetooth, что приводит к переходу с батарей на USB на батареи устройства. Если используются передачи данных Bluetooth, аппаратные кошельки должны поддерживать банки питания для дополнительного питания от батарей или батарей AAA или AA.

Некоторые люди могут сказать: «Все в порядке, если мой аппаратный кошелек больше не работает из-за сбоя батареи, я просто куплю новый и восстановлю его с помощью фразы для восстановления». Будьте осторожны, лучшая ситуация для вашей фразы восстановления — когда вы ее скрываете, вам больше не нужно ее вынимать. Каждый раз, когда вы берете его, вы добавляете дополнительный риск воздействия или кражи.

Приложение для мобильных устройств

Теперь большинство сопутствующих приложений для аппаратного кошелька (таких как Ledger Live или веб-приложение Trezor) являются настольными или веб-приложениями. Поскольку настольные устройства и операционные системы более настраиваемы, настольные и веб-приложения имеют такие преимущества, как включение сетей Tor.

Вы также можете легко вручную проверить подпись настольного приложения. Эти преимущества определенно удовлетворяют некоторые потребности премиум-класса для продвинутых пользователей. Однако для обычных людей мобильное приложение-компаньон имеет меньшую поверхность атаки, потому что:

Приложения, запущенные на мобильных телефонах, изолированы песочницей. Они могут получить доступ только к своим собственным данным.

Полное шифрование файловой системы включено по умолчанию

Пользовательские разрешения сильно ограничены для мобильных устройств по сравнению с настольными приложениями.

Обычные пользователи не умеют защищать себя от вредоносных ссылок, которые являются огромными источниками человеческих ошибок. Из-за вышеупомянутых 3 характеристик мобильные приложения гораздо реже заставляют пользователей страдать от фишинга и других атак.

Доступно для автономной покупки

Большинство людей не умеют защищать свою конфиденциальность в Интернете. Если мы воспринимаем поведение онлайн-покупок как возможность для атаки, было бы неплохо, чтобы производители аппаратного кошелька открывали каналы офлайн-покупок. Если принимаются платежи наличными или биткойнами, а не только кредитными картами, это было бы еще лучше!

Алексей Штерншис
Pi Capital Union

Возврат к списку